Wie haben die APT36-Hacker gearbeitet?
Dem Bericht zufolge hat die Gruppe viele Dienste im Internet ins Visier genommen – von E-Mail-Anbietern über Datei-Hosting-Dienste bis hin zu sozialen Medien. „APT36 nutzte verschiedene böswillige Taktiken, um Menschen online mit Social Engineering anzugreifen, um ihre Geräte mit Malware zu infizieren. Sie verwendeten eine Mischung aus böswilligen und getarnten Links und gefälschten Apps, um ihre Malware-Targeting zu verbreiten Android und Windows-Geräten“, heißt es in Metas Bericht.
Die pakistanische Hackergruppe benutzte fiktive Personen, die sich als Anwerber für legitime und gefälschte Unternehmen, Militärangehörige oder attraktive junge Frauen ausgaben, die eine romantische Beziehung aufbauen wollten, um Vertrauen zu den Zielpersonen aufzubauen. Die Gruppe setzte eine breite Palette von Taktiken ein, einschließlich der Verwendung einer benutzerdefinierten Infrastruktur, um ihre Malware zu verbreiten. Darüber hinaus nutzte diese Gruppe gängige Filesharing-Dienste wie WeTransfer, um Malware für kurze Zeit zu hosten.
APT36 verwendete gefälschte Versionen von WhatsApp, YouTube, Google Drive und mehr
Meta stellte fest, dass APT36 bei dieser kürzlich durchgeführten Operation auch (nicht offizielle) Versionen von WhatsApp mit Trojanern versehen hatte. WeChat und YouTube mit einer anderen bekannten Malware-Familie namens Mobzsar oder CapraSpy. Die in Pakistan ansässigen Hacker verwendeten auch Link-Shortening-Dienste, um bösartige URLs zu verschleiern.
Sie verwendeten Social Cards und Preview-Sites – Online-Tools, die im Marketing verwendet werden, um anzupassen, welches Bild angezeigt wird, wenn eine bestimmte URL in sozialen Medien geteilt wird –, um die Umleitung und den Besitz von Domains zu maskieren, die von APT36 kontrolliert werden. „Einige dieser Domains tarnten sich als Foto-Sharing-Websites oder generische App-Stores, während andere die Domains echter Unternehmen wie den Google Play Store fälschten. Microsoft’s OneDrive und Google Drive“, fügt der Bericht hinzu.
In mehreren Fällen verwendete diese Gruppe eine modifizierte Version der Standard-Android-Malware namens „XploitSPY“, die auf Github verfügbar ist. Während „XploitSPY“ anscheinend ursprünglich von einer Gruppe selbstberichteter ethischer Hacker in Indien entwickelt wurde, nahm APT36 Änderungen daran vor, um eine neue Malware-Variante namens „LazaSpy“ zu produzieren. „Beide Malware-Familien sind in der Lage, auf Anrufprotokolle, Kontakte, Dateien, Textnachrichten, Geolokalisierung, Geräteinformationen, Fotos und die Aktivierung des Mikrofons zuzugreifen“, heißt es in dem Bericht.